Überprüfen von Berechtigungen mithilfe des Aktivitätsprotokolls

Mit der Berechtigungsprüfung können Systemadministratoren überwachen, für welche Benutzer die Zugriffskontrolle für Tableau-Inhalte geändert wurden. Es gibt zwei Möglichkeiten, die Zugriffskontrolle zu verändern: explizite Änderungen (durch Ändern der Berechtigungen für ein Projekt oder Inhaltselement) und effektive Änderungen (durch Ändern der Site-spezifischen Rollen von Benutzern, Gruppenmitgliedschaften, Verschieben von Inhalten usw.). Alle diese Änderungen werden aufgezeichnet, sodass Administratoren verifizieren können, dass Sicherheits- und Zugriffskontrollen eingehalten werden.

Weitere Informationen dazu, wie Berechtigungsregeln ausgewertet werden, finden Sie unter Effektive Berechtigungen.

Protokollformat

Bei jeder Aktion, durch die der Benutzer- oder Gruppenzugriff auf Inhalte geändert wird, wird ein Protokolleintrag erstellt. Ein Protokolleintrag hat ein JSON-Format, wobei bestimmte Schlüssel unterschiedliche Informationen darstellen. Ein Protokolleintrag besteht aus zwei Teilen:

  • Metadaten: umfassen Informationen darüber, wann und wo eine Aktion erfolgt ist sowie welcher Benutzer die Aktion ausgeführt hat.

  • Aktion: enthält Informationen darüber, bei welchem Teil eines Inhalts die Berechtigungen geändert wurden, welche Funktionen geändert wurden und auf welche neuen Werte die Funktionen gesetzt wurden.

Anmerkung: Das Aktivitätsprotokoll zeichnet Änderungen auf, die über die Benutzeroberfläche des Berechtigungsdialogs und die REST-API vorgenommen wurden. Weitere Informationen zu API-Methoden finden Sie unter Berechtigungsmethoden(Link wird in neuem Fenster geöffnet).

Die Aktivitätsprotokolleinträge sind nicht formatiert und die Schlüssel sind in den Protokollen nicht in einer bestimmten Reihenfolge sortiert. Bei der Prüfung von Berechtigungen können Sie Aktivitätsprotokolldaten mit anderen Datenquellen kombinieren, wie zum Beispiel Erkenntnisse für Admins, um IDs mit Namen zu verknüpfen und die Ereignisse leichter verständlich zu machen.

Beispiel

Das Folgende ist ein Beispiel für einen Protokolleintrag, der zeigt, dass eine Gruppe eine Verbindung zu einer Datenquelle herstellen durfte.

{
event: {
actorUserId: 39872
actorUserLuid: “4e6b42bf-9040-4e60-b326-1c56a4fb96f8”
authorizableType: “DATASOURCE”
capabilityId: 32
capabilityValue: “connect”
contentId: 2099835
contentName: “Superstore ExtractNeal3”
eventTime: “2023-01-31T22:44:23.650058Z”
granteeId: 22
granteeLuid: “dae0717a-d524-436d-b469-fadeaa22a5dd”
granteeType: “Group”
granteeValue: “GROUP_ALLOW”
initiatingUserId: 39872
initiatingUserLuid: “4e6b42bf-9040-4e60-b326-1c56a4fb96f8”
isError: false
metadata: {
applicableToOnline: true
applicableToServer: true
comment: “Update Permissions”
customerAccessible: true
eventCategory: “security”
eventType: “update_permissions”
eventVersion: “1.0”
internalAccessible: false
}
permissionType: explicit”
siteLuid: “b45e272d-10c7-49d5-9037-e53ce47dbf4e”
}
traceUuid: “3a108a2f-c0ac-4ac7-a5f8-29zf7e064ae1”
}

Der Protokolleintrag erfasst wichtige Informationen zum Ereignis, darunter:

  • eventType zeigt, dass ein Berechtigungsaktualisierungs-Ereignis stattgefunden hat

  • permissionType zeigt eine explizite Änderung von Berechtigungen

  • contentId zeigt die ID des geänderten Inhalts

  • authorizableType zeigt den Inhaltstyp, in diesem Fall eine Datenquelle

  • capabilityValue zeigt die geänderte Fähigkeit

  • granteeId zeigt den betroffenen Berechtigungsempfänger

  • actorUserId zeigt die ID des Benutzers, der die Änderung vorgenommen hat

  • eventTime zeigt das Datum und die Uhrzeit der Änderung

Ereignisse

Protokolleinträge beinhalten unterschiedliche Ereignistypen für Berechtigungsänderungen. In der folgenden Tabelle sind alle Ereignistypen und die Fälle aufgeführt, in denen sie aufgezeichnet werden. Weitere Informationen zu Ereignistypen und ihren Attributen finden Sie unter Referenz zu Ereignistypen im Aktivitätsprotokoll.

EreignistypBeschreibung
add_delete_user_to_groupWird protokolliert, wenn ein Benutzer einer Gruppe hinzugefügt oder daraus entfernt wird
content_owner_changeWird protokolliert, wenn sich der Inhaltseigentümer ändert
create_delete_groupWird protokolliert, wenn eine Gruppe erstellt oder gelöscht wird
create_permissionsWird protokolliert, wenn eine neue explizite Berechtigungsregel erstellt wird
delete_all_permissionsWird protokolliert, wenn alle expliziten Berechtigungsregeln für Inhalte gelöscht werden, normalerweise wenn Inhalte gelöscht werden
delete_permissions_granteeWird protokolliert, wenn alle expliziten Berechtigungsregeln für einen Benutzer gelöscht werden, normalerweise wenn der Benutzer gelöscht wird
delete_permissionsWird protokolliert, wenn eine explizite Berechtigungsregel für Inhalte gelöscht wird
display_sheet_tabsWird protokolliert, wenn der Wert "Registerkartenansichten" in einer Arbeitsmappe aktualisiert wird
move_contentWird protokolliert, wenn Inhalte verschoben werden
project_lock_unlockWird protokolliert, wenn Projektberechtigungen gesperrt oder entsperrt werden
update_permissionsWird protokolliert, wenn eine explizite Berechtigungsregel für ein Inhaltselement aktualisiert wird
update_permissions_templateWird protokolliert, wenn eine Berechtigungsvorlage für ein Projekt aktualisiert wird
user_create_deleteWird protokolliert, wenn ein Benutzer erstellt oder gelöscht wird
Vielen Dank für Ihr Feedback!